目录
Low
php源码包含的过滤代码如下
从源代码可以看出,这里low级别的代码没有任何的保护性措施!?
html代码如下。页面本意是叫我们选择默认的语言,但是对default参数值没有进行任何的过滤,直接插入到option标签中。
因为这段JS代码是本地执行的,获取本地输入的URL栏上的default参数再直接嵌入到option标签中的,因而可以直接往default参数注入XSS payload即可
1. 利用尖括号构造弹窗
<script>alert(1)</script>
?我们查看源代码,可以看到,我们的脚本作为option标签内容插入option中,所以执行
如下为option标签的样式结构?
- 浏览器将 <option> 标签中的内容作为 <select> 标签的菜单或是滚动列表中的一个元素显示。
- option 元素位于 select 元素内部
- <option> 标签可以在不带有任何属性的情况下使用,但是您通常需要使用 value 属性,此属性会指示出被送往服务器的内容。
?2. 利用伪协议
若要尝试使用其他XSS payload,如img、svg等标签,因为select标签内只允许内嵌option标签,而option标签中能内嵌script标签但不能内嵌img等标签,因此需要在注入时先闭合option和select标签从而使注入的标签逃逸出来执行XSS:
</option></select><a href="javascript:alert(/xss/)">touch me!</a>
3. 利用html事件
</option></select><img src='#' onerror="alert(/xss/)">Medium
过滤代码如下。可见对输入的"<script"这个关键字进行了过滤
?stripos() 函数查找字符串在另一字符串中第一次出现的位置(不区分大小写)
stripos(string,find,start)
| 参数 | 描述 |
|---|---|
| string | 必需。规定要搜索的字符串。 |
| find | 必需。规定要查找的字符。 |
| start | 可选。规定开始搜索的位置。 |
所以这里这届嵌入<script>标签是不行,不过我们可以利用上面的伪协议和html事件进行弹窗,payload一样就不再演示
High
源码如下,按照之前的方法肯定是不行的,因为白名单直接写死了
看下帮助信息
The developer is now white listing only the allowed languages, you must find a way to run your code without it going to the server.
Spoiler: The fragment section of a URL (anything after the # symbol) does not get sent to the server and so cannot be blocked. The bad JavaScript being used to render the page reads the content from it when creating the page.大概意思就是,需要找一种方法在本地运行你的JS代码而无需经过服务器端的处理。这里提供的一种方法就是,应用#号,URL栏的#号之后的内容并不会发送至服务器端,JS应用该符号实现在页面创建加载过程中定向到指定的页面内容上。
所以运行这种方法,我们构建弹窗
1. 构造script标签
English#<script>alert(1)</script>回车后然后刷新浏览器,弹窗成功
?我们追踪一下代码流看下,证明了#后面的内容并未发送到服务器中
2. 利用伪协议?
English#</option></select><a href="javascript:alert(/xss/)">touch me!</a>同样进行刷新浏览器
?3. 利用html事件
English#</option></select><img src='#' onerror="alert(/xss/)">
Impossibe?
这里服务端没有进行任何过滤
查看help怎么说:
The contents taken from the URL are encoded by default by most browsers which prevents any injected JavaScript from being executed.
大致就是,大多数浏览器默认都对从URL中获取的内容进行编码,以防止JS代码注入执行。
回到xss dom的index.php中可以看到,对于impossible级别来说,在JS代码document.write()中调用的decodeURI()是个空函数,即并不会对URL编码过的内容再进行URL解码,从而杜绝了DOM型XSS:
测试一下,发现确实没有进行URL解码
之前的三关都是一种解码的状态如下
